Qué es

PingThat es un conjunto de 23 herramientas gratuitas de red y seguridad — consultas DNS, WHOIS, inspección de certificados SSL, cabeceras HTTP, decodificador JWT, calculadora de subredes, port scan, traza de redirecciones y varias comprobaciones de privacidad. Algunas herramientas se ejecutan íntegramente en tu navegador; otras necesariamente consultan DNS o piden datos a un host remoto y por tanto requieren acceso a red (el de tu navegador, o un pequeño backend que actúa en tu nombre). La siguiente sección detalla exactamente qué hace cada herramienta — sin afirmaciones de "todo ocurre localmente" cuando una consulta DNS obviamente no puede.

Dónde se ejecuta cada herramienta

Las herramientas de PingThat se reparten en cinco tipos de ejecución. Los nombramos sin rodeos porque las implicaciones de privacidad son distintas:

• Cliente puro (5 herramientas) — sin llamada de red. Todo ocurre en la pestaña de tu navegador.
  subnet-calculator, ip-converter, password-strength, jwt-decoder, url-parser
• Navegador → servidor STUN público (2 herramientas) — los tests de leak y privacidad WebRTC abren una RTCPeerConnection contra el endpoint STUN público de Google (stun.l.google.com:19302) para reunir candidatos ICE. Sacar a la luz lo que tu navegador revela a un servidor STUN es el sentido entero del test — sin la consulta STUN no hay nada que detectar. No se envían datos de aplicación, solo paquetes UDP estándar de recolección ICE.
  webrtc-leak-test, privacy-check
• Navegador → Cloudflare DNS-over-HTTPS (5 herramientas) — tu navegador envía una consulta DoH a cloudflare-dns.com/dns-query. La consulta va de tu IP a Cloudflare, no pasa por un servidor de PingThat. Nosotros no vemos la consulta.
  dns-lookup, reverse-dns, caa-lookup, dnssec-check, ipv6-check
• Navegador → API HTTP de terceros (1 herramienta) — my-ip hace fetch a ipapi.co y api.ipify.org para identificar tu IP pública más unos cuantos campos de geo/ISP. La petición HTTP va de tu navegador directamente a esos endpoints (sin proxy de PingThat), pero el flujo de datos es hacia un servicio distinto al del bucket DoH de arriba. Listado aparte para que la distinción de privacidad sea explícita.
  my-ip
• A través de un backend de PingThat (10 herramientas) — un pequeño Worker de Cloudflare hace el trabajo de red en tu nombre. El backend es inevitable cuando la operación no puede ejecutarse en el sandbox del navegador (TCP raw para port-scan, handshake SSL, protocolo WHOIS, medición server-side del fetch HTTP). El Worker recibe el hostname/IP que indicas, ejecuta la consulta, devuelve el resultado y no registra inputs. La lista completa de endpoints vive en functions/api/ del repositorio abierto.
  whois-lookup, ssl-checker, port-scan, http-headers, site-speed, email-auth, redirect-checker, resolver-compare, is-it-down, is-it-up

Para herramientas del quinto bloque, el objetivo que escribes sale de tu dispositivo — ese es el sentido entero de la herramienta. Si eso es un dealbreaker, quédate con los cuatro primeros bloques o usa la CLI equivalente en local (dig, openssl s_client, whois).

Fuentes de datos y servicios de terceros

Las herramientas que consultan la red dependen de los siguientes servicios upstream:

• Cloudflare DNS-over-HTTPS (1.1.1.1) — para todas las consultas DNS (A/AAAA/MX/TXT/CAA/DNSSEC/PTR). El navegador consulta DoH directamente, sin proxy de PingThat en medio.
• Varios resolvers DNS públicos — resolver-compare consulta Cloudflare, Google (8.8.8.8), Quad9 (9.9.9.9) y OpenDNS en paralelo para detectar inconsistencias. La lista y las respuestas actuales son visibles en la salida de la herramienta.
• Protocolo WHOIS (puerto 43) y RDAP — whois-lookup consulta el servidor de registro correspondiente al TLD. El Worker maneja el protocolo porque los navegadores no hablan WHOIS raw.
• TCP/TLS directo al host objetivo — ssl-checker, port-scan, http-headers, site-speed, is-it-down/is-it-up, redirect-checker conectan todos al host que indicas. El Worker es la parte solicitante desde la perspectiva del objetivo.
• No usamos APIs comerciales de pago — no hay shodan.io, censys.io, maxmind, ipinfo.io ni servicios de enriquecimiento similares en la ruta. Si alguna vez una herramienta necesita uno, se documenta aquí primero.

Precisión, caché y límites de ratio

El backend Worker aplica caché de TTL corto (típicamente 30–60 segundos) para reducir carga upstream y absorber ráfagas del botón de refrescar. Eso significa que un resultado que veas en el segundo t puede coincidir con una consulta hecha en t − 30s, lo cual importa cuando estás depurando un host activamente. Fuerza una consulta fresca añadiendo un query param de cache-bust o esperando un minuto.

PingThat no aplica un rate limit por usuario más allá del que el edge de Cloudflare aplica a patrones abusivos. Los servicios upstream pueden limitar de forma independiente (los registros WHOIS son especialmente estrictos — típicamente 1 consulta por segundo por IP origen, y la IP del Worker se comparte entre todos los usuarios de PingThat, así que uso intenso de WHOIS puede toparse ocasionalmente con un throttle del registro). Cuando eso pasa, la herramienta muestra el error tal cual en lugar de disfrazarlo de éxito.

Los números que PingThat reporta vienen directos de los protocolos upstream y son tan precisos como la fuente: fechas del certificado SSL del propio certificado, TTLs DNS de la respuesta autoritativa, timing HTTP del reloj del Worker. No ajustamos, promediamos ni suavizamos valores.

Por qué existe

La mayoría de sitios de herramientas de red online siguen el mismo patrón: una página lenta llena de anuncios intrusivos, un muro de pago que esconde las funciones realmente útiles, un registro forzado y guardan logs de consultas que luego se venden o consultan a posteriori. Tras tropezar una vez de más con eso, el operador (un desarrollador independiente afincado en España) empezó a construir alternativas autónomas, una herramienta cada vez. PingThat es el resultado para la categoría de red.

La filosofía de diseño: cada herramienta que técnicamente puede correr en cliente, debe correr en cliente. Cuando un backend es inevitable (TCP, WHOIS, timing HTTP raw), es un Worker fino que no registra consultas. Si una función necesita realmente una API de pago de terceros, se documenta de entrada y se ofrece la alternativa.

Cómo se financia

PingThat es gratis, sin registro, sin nivel premium y sin upsells. El sitio se financia con anuncios de Google AdSense alrededor de las herramientas, y con propinas ocasionales en Buy Me a Coffee de personas a las que el resultado les sirvió.

Esto permite que el sitio sea sostenible sin recolectar tus consultas, sin esconder herramientas tras pago y sin empujarte a una app de escritorio. Si una de las herramientas te resulta genuinamente útil y quieres apoyar el desarrollo, el enlace Buy Me a Coffee del pie de página es la vía más directa.

Quién hay detrás

PingThat lo construye y mantiene Marco B., un desarrollador independiente afincado en España. El sitio forma parte de un pequeño portafolio de utility web apps (CompoundVision para finanzas, AllYouNeed para utilidades generales, JSONCraft para desarrolladores, OpenImages para imagen, OpenPDF para PDFs, PingThat para red). Todas comparten el mismo diseño privado por defecto.

Si quieres hablar con un humano sobre una herramienta, un bug o una función que echas en falta, la página de Contacto tiene un formulario de feedback que llega a la bandeja del operador en pocas horas durante días laborables UE.

Independencia editorial

La red publicitaria (Google AdSense) no influye en qué herramientas se construyen ni cómo funcionan. No hay artículos patrocinados, ni listas "los mejores de" empujando enlaces de afiliado, ni referral kickbacks por recomendaciones de VPN u hosting, ni decisiones editoriales tomadas para favorecer a un anunciante. Si una herramienta existe en el sitio, es porque fue suficientemente útil al operador como para construirla.